一种服务链策略实现方法及服务链策略实现系统技术方案

本发明专利技术公开了一种服务链策略实现方法及服务链策略实现系统，首先根据安全应用下发的新安全策略、新安全策略对应的主体和客体、以及新安全策略对应的安全设备生成服务链指令，以使与该新安全策略对应的客体的流量经过安全设备处理后到达目的地址；再根据服务链指令进行策略一致性检测并下发对应的流条目到目的交换机。该服务链策略实现方法可以使服务链的调整在短时间内自动化完成，并将流量依次经过一个或多个安全设备，整个过程快速灵活，并且当服务链变更时，不需要重新进行网络设备的配置。

【技术实现步骤摘要】

本专利技术涉及网络
，尤指一种服务链策略实现方法及服务链策略实现系统。
技术介绍
在安全域内部，或在安全域边界上，往往需要部署多种安全机制，如对于Web服务器而言，需要一次经过抗DDoS清洗、访问控制和Web应用防护；而对于内网数据库，则需要经过访问控制、入侵检测和数据库审计等机制，所以需要从物理网络到虚拟网络，从网关侧到服务器侧，依次部署若干安全的业务节点，这称为服务链。传统网络的服务链和网络拓扑紧密耦合、部署复杂。如在服务链变更时，需要改动网络拓扑，重新进行网络设备的配置，非常复杂耗时。
技术实现思路
本专利技术实施例提供一种服务链策略实现方法及服务链策略实现系统，用以实现使服务链的调整在短时间内自动化完成，并且当服务链变更时，不需要重新进行网络设备的配置。本专利技术实施例提供的一种服务链策略实现方法，包括：根据安全应用下发的新安全策略、所述新安全策略对应的主体和客体、以及所述新安全策略对应的安全设备生成服务链指令，以使与所述新安全策略对应的客体的流量经过所述安全设备处理后到达目的地址；根据所述服务链指令进行策略一致性检测并下发对应的流条目到目的交换机。较佳地，在本专利技术实施例提供的上述实现方法中，根据所述服务链指令，进行策略一致性检测并下发对应的流条目到目的交换机，具体为：确定是否存在数据模式与所述新安全策略的数据模式相关的已实施安全策略；如果不存在，则直接按照所述服务链指令下发对应的流条目到目的交换机，并将所述新安全策略存为已实施安全策略；如果存在，则根据数据模式与所述新安全策略的数据模式相关的所述已实施安全策略中，优先级高于所述新安全策略的已实施安全策略确定所述新安全策略的流来源；根据数据模式与所述新安全策略的数据模式相关的所述已实施安全策略中，优先级低于所述新安全策略的已实施安全策略确定所述新安全策略的流去向。较佳地，在本专利技术实施例提供的上述实现方法中，根据数据模式与所述新安全策略的数据模式相关的所述已实施安全策略中，优先级高于所述新安全策略的已实施安全策略确定所述新安全策略的流来源，具体为：将优先级高于所述新安全策略的、且优先级低于或等于高截止安全策略的已实施安全策略组成高优先级策略组；其中所述高截止安全策略为优先级高于所述新安全策略的、且数据模式为包含或等于所述新安全策略的已实施安全策略；确定所述高优先级策略组中，是否存在高截止安全策略；如果存在，则去除所述高优先级策略组中，数据模式为被所述新安全策略的数据模式包含的已实施安全策略；根据最终所述高优先级策略组中已实施安全策略的优先级由高到低的顺序，下发由最终所述高优先级策略组中的已实施安全策略至所述新安全策略的流牵引指令。较佳地，在本专利技术实施例提供的上述实现方法中，当所述高优先级策略组中不存在高截止安全策略时，还包括：下发一条由第一安全设备至所述新安全策略的流牵引指令，并将所述新安全策略存为已实施安全策略；其中所述第一安全设备为优先级高于所述新安全策略对应的安全设备的优先级的安全设备；则去除所述高优先级策略组中，数据模式为被所述新安全策略的数据模式包含的已实施安全策略；根据最终所述高优先级策略组中已实施安全策略的优先级由高到低的顺序，下发由最终所述高优先级策略组中的已实施安全策略至所述新安全策略的流牵引指令。较佳地，在本专利技术实施例提供的上述实现方法中，当数据模式与所述新安全策略的数据模式相关的所述已实施安全策略中，不存在优先级高于所述新安全策略的已实施安全策略时；下发一条由第一安全设备至所述新安全策略的流牵引指令，并将所述新安全策略存为已实施安全策略；其中所述第一安全设备为优先级高于所述新安全策略对应的安全设备的优先级的安全设备。较佳地，在本专利技术实施例提供的上述实现方法中，根据数据模式与所述新安全策略的数据模式相关的所述已实施安全策略中，优先级低于所述新安全策略的已实施安全策略确定所述新安全策略的流去向，具体为：将优先级低于所述新安全策略的、且优先级高于或等于低截止安全策略的已实施安全策略组成低优先级策略组；其中所述低截止安全策略为优先级低于所述新安全策略的、且数据模式为包含或等于所述新安全策略的已实施安全策略；根据所述低优先级策略组中已实施安全策略的优先级由高到低的顺序，下发由所述新安全策略至所述低优先级策略组中的已实施安全策略的流牵引指令，并将所述低优先级策略组中的已实施安全策略存为数据模式为与所述新安全策略的数据模式相关的策略。较佳地，在本专利技术实施例提供的上述实现方法中，当所述低优先级策略组中不存在低截止安全策略时，或者当数据模式与所述新安全策略的数据模式相关的所述已实施安全策略中，不存在优先级低于所述新安全策略的已实施安全策略时：下发一条由所述新安全策略至第二安全设备的流牵引指令，并将所述新安全策略存为已实施安全策略；其中所述第二安全设备为优先级低于所述新安全策略对应的安全设备的优先级的安全设备。相应地，本专利技术实施例还提供了一种服务链策略实现系统，包括：策略解析模块，用于根据安全应用下发的新安全策略、所述新安全策略对应的主体和客体、以及所述新安全策略对应的安全设备生成服务链指令，以使与所述新安全策略对应的客体的流量经过所述安全设备处理后到达目的地址；流下发模块，用于根据所述服务链指令进行策略一致性检测并下发对应的流条目到目的交换机。较佳地，在本专利技术实施例提供的上述实现系统中，还包括：知识库和设备管理库；所述知识库用于存储新安全策略与其主体和客体的对应关系；所述设备管理库用于新安全策略与安全设备的对应关系；策略解析模块具体用于根据安全应用下发的新安全策略，通过查找所述知识库和所述设备管理库生成服务链指令。较佳地，在本专利技术实施例提供的上述实现系统中，所述流下发模块具体用于：确定是否存在数据模式与所述新安全策略的数据模式相关的已实施安全策略；如果不存在，则直接按照所述服务链指令下发对应的流条目到目的交换机，并将所述新安全策略存为已实施安全策略；如果存在，则根据数据模式与所述新安全策略的数据模式相关的所述已实施安全策略中，优先级高于所述新安全策略的已实施安全策略确定所述新安全策略的流来源；根据数据模式与所述新安全策略的数据模式相关的所述已实施安全策略中，优先级低于所述新安全策略的已实施安全策略确定所述新安全策略的流去向。较佳地，在本专利技术实施例提供的上述实现系统中，所述流下发模块根据数据模式与所述新安全策略的数据模式相关的所述已实施安全策略中，优先级高于所述新安全策略的已实施安全策略确定所述新安全策略的流来源，具体为：将优先级高于所述新安全策略的、且优先级低于或等于高截止安全策略的已实施安全策略组成高优先级策略组；其中所述高截止安全策略为优先级高于所述新安全策略的、且数据模式为包含或等于所述新安全策略的已实施安全策略；确定所述高优先级策略组中，是否存在高截止安全策略；如果存在，则去除所述高优先级策略组中，数据模式为被所述新安全策略的数据模式包含的已实施安全策略；根据最终所述高优先级策略组中已实施安全策略的优先级由高到低的顺序，下发由最终所述高优先级策略组中的已实施安全策略至所述新安全策略的流牵引指令。较佳地，在本专利技术实施例提供的上述实现系统中，所述流下发模块还用于，当所述高优先级策略组中不存在高截止安全策略时：下发一条由第一安全设备至本文档来自技高网...

【技术保护点】
一种服务链策略实现方法，其特征在于，包括：根据安全应用下发的新安全策略、所述新安全策略对应的主体和客体、以及所述新安全策略对应的安全设备生成服务链指令，以使与所述新安全策略对应的客体的流量经过所述安全设备处理后到达目的地址；根据所述服务链指令进行策略一致性检测并下发对应的流条目到目的交换机。

【技术特征摘要】
1.一种服务链策略实现方法，其特征在于，包括：根据安全应用下发的新安全策略、所述新安全策略对应的主体和客体、以及所述新安全策略对应的安全设备生成服务链指令，以使与所述新安全策略对应的客体的流量经过所述安全设备处理后到达目的地址；根据所述服务链指令进行策略一致性检测并下发对应的流条目到目的交换机。2.如权利要求1所述的实现方法，其特征在于，根据所述服务链指令，进行策略一致性检测并下发对应的流条目到目的交换机，具体为：确定是否存在数据模式与所述新安全策略的数据模式相关的已实施安全策略；如果不存在，则直接按照所述服务链指令下发对应的流条目到目的交换机，并将所述新安全策略存为已实施安全策略；如果存在，则根据数据模式与所述新安全策略的数据模式相关的所述已实施安全策略中，优先级高于所述新安全策略的已实施安全策略确定所述新安全策略的流来源；根据数据模式与所述新安全策略的数据模式相关的所述已实施安全策略中，优先级低于所述新安全策略的已实施安全策略确定所述新安全策略的流去向。3.如权利要求2所述的实现方法，其特征在于，根据数据模式与所述新安全策略的数据模式相关的所述已实施安全策略中，优先级高于所述新安全策略的已实施安全策略确定所述新安全策略的流来源，具体为：将优先级高于所述新安全策略的、且优先级低于或等于高截止安全策略的已实施安全策略组成高优先级策略组；其中所述高截止安全策略为优先级高于所述新安全策略的、且数据模式为包含或等于所述新安全策略的已实施安全策略；确定所述高优先级策略组中，是否存在高截止安全策略；如果存在，则去除所述高优先级策略组中，数据模式为被所述新安全策略的数据模式包含的已实施安全策略；根据最终所述高优先级策略组中已实施安全策略的优先级由高到低的顺序，下发由最终所述高优先级策略组中的已实施安全策略至所述新安全策略的流牵引指令。4.如权利要求3所述的实现方法，其特征在于，当所述高优先级策略组中不存在高截止安全策略时，还包括：下发一条由第一安全设备至所述新安全策略的流牵引指令，并将所述新安全策略存为已实施安全策略；其中所述第一安全设备为优先级高于所述新安全策略对应的安全设备的优先级的安全设备；则去除所述高优先级策略组中，数据模式为被所述新安全策略的数据模式包含的已实施安全策略；根据最终所述高优先级策略组中已实施安全策略的优先级由高到低的顺序，下发由最终所述高优先级策略组中的已实施安全策略至所述新安全策略的流牵引指令。5.如权利要求3所述的实现方法，其特征在于，当数据模式与所述新安全策略的数据模式相关的所述已实施安全策略中，不存在优先级高于所述新安全策略的已实施安全策略时；下发一条由第一安全设备至所述新安全策略的流牵引指令，并将所述新安全策略存为已实施安全策略；其中所述第一安全设备为优先级高于所述新安全策略对应的安全设备的优先级的安全设备。6.如权利要求2所述的实现方法，其特征在于，根据数据模式与所述新安全策略的数据模式相关的所述已实施安全策略中，优先级低于所述新安全策略的已实施安全策略确定所述新安全策略的流去向，具体为：将优先级低于所述新安全策略的、且优先级高于或等于低截止安全策略的已实施安全策略组成低优先级策略组；其中所述低截止安全策略为优先级低于所述新安全策略的、且数据模式为包含或等于所述新安全策略的已实施安全策略；根据所述低优先级策略组中已实施安全策略的优先级由高到低的顺序，下发由所述新安全策略至所述低优先级策略组中的已实施安全策略的流牵引指令，并将所述低优先级策略组中的已实施安全策略存为数据模式为与所述新安全策略的数据模式相关的策略。7.如权利要求6所述的实现方法，其特征在于，当所述低优先级策略组中不存在低截止安全策略时，或者当数据模式与所述新安全策略的数据模式相关的所述已实施安全策略中，不存在优先级低于所述新安全策略的已实施安全策略时：下发一条由所述新安全策略至第二安全设备的流牵引指令，并将所述新安全策略存为已实施安全策略；其中所述第二安全设备为优先级低于所述新安全策略对应的安全设备的优先级的安全设备。8.一种服务链策略实现系统，其特征在于，包括：策略解析模块，用于根据安全应用下发的新安全策略、所述新安全策略对应的主体和客体、以及所述新安全策略对应的安全设备生成服务链指令，以使与所述...

【专利技术属性】
技术研发人员：张思拓，
申请(专利权)人：中国南方电网有限责任公司，
类型：发明
国别省市：广东;44